45785
45785
Apr 13, 2007, updated at 22:24:05 (UTC)
view20194
view8
0
Goto Top

Anmeldung an Domäne über Internet ohne VPN Router möglich?

GermansolvedQuestionNetworks
Guten Morgen zusammen.
Ich habe eine vielleicht leichte Frage.

Wie kann ich es realisieren, mich über das Internet an einer Serverdomäne anzumelden?
Ich habe keine VPN Router zur Verfügung. Lediglich normale WLAN Router (Speedport W500V und W700V).
Das ganze soll für Exchange und hauptsächlich Empirum genutzt werden.

Wie kann ich vorgehen? Ist es überhaupt möglich?Wenn ich nach der lokalen Anmeldung einen VPN Tunnel aufbaue müsste es ja gehen, dass zumindest der entfernte Client sich im "lokalen" Netzwerk des Servers befindet oder?

Oder gibt es noch andere Möglichkeiten das der Empirum Server den Clienten übers Internet bedient?

Danke schonmal.

Gruß Stefan
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 56543

Url: https://administrator.de/contentid/56543

Printed on: April 26, 2024 at 08:04 o'clock

8 Comments
Latest comment
Goto Top
Member: spacyfreak
spacyfreak Apr 13, 2007 at 06:03:21 (UTC)
Goto Top
Sich übers Internet direkt an einem Domaincontroller anzumelden ist freilich möglich - das Internet ist auch nix anderes als ein Netz.
Dazu müsste man den DC aber zum Intenet hin öffnen - fraglich ob das so sinnvoll ist. Würde eher sagen lass es. face-wink

Die einfachste u. dennoch kostenlose Möglichkeit wäre einen SSH Tunnel zu machen und die Ports die deine Empirium Client Software braucht forzuwarden. Im SSH Tunnel kann man aber nur TCP Protokolle tunneln, kein UDP. Was Empirium braucht weiss ich nicht.

Anleitung siehe http://souptonuts.sourceforge.net/sshtips.htmoogle
Runterscrollen, wo die Putty konfiguration beschrieben wird. Ist eigentlich alles gut erklärt und binnen paar Minuten erledigt. Im Firmen Intranet brauchst du jedoch einen SSH-fähigen Rechner, zb. einen XP mit freeSSHd oder ein Linuxrechner.
Member: Dani
Dani Apr 13, 2007 at 06:19:05 (UTC)
Goto Top
G' Morgen,
also im ganzen ist das Problem banal. Ein Satz vor weg: Möglich ist natürlich alles. Es stellt sich immer die Frage, ob der Aufwand für das Vorhaben lohnen bzw. wie "nötig" das Feature ist. face-smile
Aber in deinem Fall, sehe ich da groß keine Probleme.

Also würde ich NIE im Leben einen DC ins Internet stellen. Sprich ihr habt ja sicher eine richtige Firewall ( nicht so ein 0815 Gerät wir die Speedport-Reihe). Sprich eine richgie Firewall hinstellen und ein dazu passender Router der L2TP over IPSec unterstützt (die Speedport-Reihe kann kein L2TP!). PPTP kannst du vergessen. Warum? Siehe hier:
Zur Vergößerung der Sicherheit im verwendeten Tunnels wird dieser von PPTP (Point-to-Point-
Tunneling Protocol) auf einen L2TP (Layer-Two Tunneling Protocol) umgestellt. Mit L2TP ist es
erst möglich innerhalb der Verbindung IPSec zu tunneln. Diese Möglichkeit ist im PPTP nicht
gegeben. PPTP verschlüsselt die Pakete nach einem RC4 Verfahren mit 40, 56 oder 128 Bit
(welches wir eingestellt hatten), aber hat keine Integritätsprüfung der Pakete implemetiert
und kann nicht zusammen mit IPSec verwendet werden.
Also dann auf dem Server ISA / oder nur Routing- & RAS installieren und konfigurieren. Natürlich vorher den Server in die Domäne aufnehmen. Denn ansonsten wird es schwer mit der Auth. face-smile

Das einrichten an sich dürfte keine Probleme darstellen. Wie du L2TP mit Zertifiakte anlegst erfährst du hier: http://www.gruppenrichtlinien.de/index.html?/HowTo/VPN_Remote_Einwahl.h ...
Achtung! Die Konfig oben ist NUR mit einer Netzwerkkarte gedacht.

Hier noch die Ports, die du vom Router auf den Server dann forwarden musst:
UDP 1701
UDP 500 (IKE)
IPsecESP Protokoll 50 (Achtung nicht TCP/UDP 50, ist meistens das Feature VPN Passthrough)
UDP/TCP  4500 ( NAT Traversal)
Quelle: User "aqui"


Gruß
Dani
Mitglied: 45785
45785 Apr 13, 2007 at 09:36:14 (UTC)
Goto Top
Wie würde ich denn den DC ins Internet einbinden.
Ist bei mir sowieso ne private Testumgebung.
Läuft leider alles über dynamische IP. (mit Dyndns)
Welche Ports benötigt die Anmeldung denn? Damit ich diese weiterleiten kann?
Member: MoeSzyslak
MoeSzyslak Apr 13, 2007 at 15:52:34 (UTC)
Goto Top
Wie würde ich denn den DC ins Internet
einbinden.

lass es lieber, die Kiste u.U. schneller gehackt als Du gucken kannst.
Und auch wenn es nur eine Testumgebung ist soll die vielleicht ja mal produktiv gehen ?!?
Was hilft es Dir dann also so zu testen wie es produktiv nie angewandt werden könnte / sollte ?

MfG
Moe
Member: spacyfreak
spacyfreak Apr 13, 2007 at 18:00:14 (UTC)
Goto Top
Um Ports rauszufinden nutze Sniffer (Ethereal oder Packetyzer) oder TCPView von Sysinternals.
Wird ne ganze Latte sein bei Dom-anmeldung. (139-Netbios-Session / 445 SMB over TCP ....).
Oder auch das hier könnte helfen.
http://www.microsoft.com/germany/technet/datenbank/articles/600573.mspx ...

Aber wie gesagt - lass das lieber sein, das macht kein Mensch! face-wink
Member: Dani
Dani Apr 13, 2007 at 18:13:05 (UTC)
Goto Top
Hä?
Wird ne ganze Latte sein bei Dom-anmeldung. (139-Netbios-Session / 445 SMB over TCP ....).
Warum das denn?? Wenn der Tunnel steht, sieht der Server den Client so an, als würder physikalisch in LAN stehen.


Gruß
Dani
Mitglied: 45785
45785 Apr 13, 2007 at 19:27:48 (UTC)
Goto Top
aber wenn ich keine vpn router habe?
kann ich denn einen tunnel vor (!) der Anmeldung aufbauen?
Member: spacyfreak
spacyfreak Apr 13, 2007 at 22:24:05 (UTC)
Goto Top
Hä?
> Wird ne ganze Latte sein bei
Dom-anmeldung. (139-Netbios-Session / 445 SMB
over TCP ....).
Warum das denn?? Wenn der Tunnel steht,
sieht der Server den Client so an, als
würder physikalisch in LAN stehen.


Gruß
Dani

Jo, das ist doch klar. Aber es geht ja grade drum, wenn man nen DC DIREKT aus dem Inet (warum auch immer) erreichen will.

@telefonmann
Einen Tunnel VOR Domänen-Anmeldung am System machen geht mit manchen VPN Clients, zb. von Cisco. Aber das ist wohl etwas überdimensioniert für ne testgeschichte nen VPN Concentrator zu besorgen face-wink
GermansolvedQuestionNetworks